Estándar asociado a la buena práctica COBIT CHAFLOQUE HUAMÁN Joselyne VELASQUEZ QUIROZ Arnold VERA ZAPATA Irene
Estándar asociado a la buena práctica COBIT
CHAFLOQUE HUAMÁN Joselyne VELASQUEZ QUIROZ Arnold VERA ZAPATA Irene
INTRODUCCIÓN:INTRODUCCIÓN:
Actualmente las organizaciones requieren una aproximación estructurada para abordar muchos desafíos.
Para poder definir al GOBIERNO DE TIPara poder definir al GOBIERNO DE TI
Se debe iniciar definiendo al Gobierno Corporativo
Conjunto de responsabilidades y prácticasConjunto de responsabilidades y prácticas
Por la junta directiva y la administraciónPor la junta directiva y la administración
ejecutadas
Proveer dirección estratégicaProveer dirección estratégica
finalidad
(ISACA, 2010)
¿De qué manera se provee una correcta dirección ¿De qué manera se provee una correcta dirección estratégica para la organización?estratégica para la organización?
Pero….
GOBIERNO DE TIGOBIERNO DE TI
Es una parte integral del Gobierno corporativoEs una parte integral del Gobierno corporativo
Consta
Liderazgo, estructuras organizacionales y procesos
Garantizan
Las TI de la empresa sustentan y extiendenLas TI de la empresa sustentan y extienden Estrategias y objetivos
OrganizacionalesEstrategias y objetivos Organizacionales
GOBIERNO DE TIGOBIERNO DE TI
Es una responsabilidad compartida de la junta directiva y la administración ejecutiva de la organización.
(ISACA, 2010)
Definición de Gobierno de TI según Definición de Gobierno de TI según norma ISO/IEC 38500:2008norma ISO/IEC 38500:2008
“Sistema mediante el cual se dirige y controla el uso actual y futuro de las tecnologías de información.”
“Sistema mediante el cual se dirige y controla el uso actual y futuro de las tecnologías de información.”
Implementación del Gobierno de TIImplementación del Gobierno de TI
Se tiene en cuenta las diferentes condiciones y circunstancias existentes en una organización, determinadas por factores como lo son:
Implementación del Gobierno de TIImplementación del Gobierno de TI
Enfoque del Gobierno de TIEnfoque del Gobierno de TI
Áreas de enfoque del Gobierno de TIÁreas de enfoque del Gobierno de TI
Alineación Estratégica:Alineación Estratégica:
Garantiza la alineación estratégica
Garantiza la alineación estratégica
Planes de Negocio
entre
Planes de TI
Alinear
Operaciones de TI Operaciones de la empresa
Entrega de Valor:Entrega de Valor:
Administración de Recursos: Administración de Recursos:
Aplicaciones. Información. Infraestructura. Personas.
Administración de Riesgos:Administración de Riesgos:
Riesgos de la función de TI
Procesos soportados por TI
Medición del desempeño:Medición del desempeño:
La estrategia de implementación.
La terminación del proyecto.
Uso de los recursos.
Desempeño de los procesos.
Entrega del servicio.
BSC
Mapa de implementación de Mapa de implementación de Gobierno de TI para la organización.Gobierno de TI para la organización.
IdIdentificar las necesidades de la organización:entificar las necesidades de la organización:
Fomentar conciencia
Obtener compromiso
También implica
• Analizar metas del negocio y de TI.• Realizar selección de procesos y controles. • Analizar riesgos.• Definir alcances.
Prever la solución de problemas:Prever la solución de problemas:
La capacidad
La madurez
Posteriormente definir
Planear la solución:Planear la solución:
Implantar Solución:Implantar Solución:
La retroalimentación y lecciones aprendidas post-implementación. Monitoreo de las mejoras sobre desempeño de la corporación. Balanced Scorecard de TI
Lograr Sustentabilidad:Lograr Sustentabilidad:
Gobierno de TI
Gobierno corporativo
Estructuras organizacionales apropiadas. Determinar políticas y controles. Cambio cultural impulsado desde la alta dirección. Monitoreo e informes óptimos
Pero….
¿Por qué utilizar un estándar? ¿Será bueno o ¿Por qué utilizar un estándar? ¿Será bueno o malo?malo?
¿Utilizo un Estándar?¿Utilizo un Estándar?
COBIT
COBITCOBIT
COBIT…. Su misiónCOBIT…. Su misión
Investigar, desarrollar, publicar y promover un marco de trabajo de control de gobierno de TI autorizado y actualizado, internacionalmente aceptado y adoptado para el uso cotidiano de las empresas, gerentes de negocios, profesionales de TI y de Aseguramiento.
DiagramaDiagrama dede lala misiónmisión dede COBIT: COBIT:
Principio básico del marco de referencia de COBITPrincipio básico del marco de referencia de COBIT
Los recursos de TI son manejados por procesos para alcanzar las metas de TI que responden a los requerimientos del negocio.
COBIT…. Sus características:COBIT…. Sus características:
COBIT 4.1
COBIT 4.1COBIT 4.1
Modelo de Madurez COBITModelo de Madurez COBIT
Tiene 6 niveles (0 al 5) para medir el nivel de madurez de los procesos de TI:
Modelo de Madurez COBITModelo de Madurez COBIT
Procesos de COBITProcesos de COBIT
Procesos de COBITProcesos de COBIT
COBIT 5COBIT 5
Procesos COBIT 5Procesos COBIT 5
La orientación de COBIT 5 es en procesos y existen 36 procesos que están separados como áreas de Gobierno y Administración.
Área: Gobierno Corporativo de TI
• Evaluar, Dirigir y Monitorear (EDM) – 5 procesos
Área: Administración de TI Corporativa
• Alinear, Planear, Organizar ( PO) – 12 procesos• Construcción, Adquisición e implementación (BAI) – 8 procesos• Entrega, Servicio y Soporte (DSS) – 8 procesos• Monitoreo, Evaluación e Informes (MEI) – 3 procesos
Procesos COBIT 5Procesos COBIT 5
Los nuevos procesos son los de EDMEDM1 - Establecer y mantener el marco de referencia del GobiernoEDM2 - Asegurar la Optimización del ValorEDM3 - Asegurar la optimización del riesgoEDM4 - Asegurar la optimización de los recursosEDM5 - Asegurar la transparencia hacia los stakeholders.Los procesos de disponibilidad y capacidad fueron mezclados:
BAI4 - Administrar la disponibilidad y capacidadLa mesa de servicio ha sido removida como parte del nombre de un proceso, ahora el
proceso que la incluye es:DSS4 - Administrar las solicitudes de servicio e incidentes
Cambios en COBIT 5Cambios en COBIT 5
COBIT 4.1 hacía referencia a ITIL; CMM, ISO 17799, PMBOK, PRINCE2. Uno de los objetivos de COBIT 5 sigue siendo mejorar la compatibilidad con otras guías de buenas prácticas y estándares.
Nuevo Modelo de Madurez COBIT 5Nuevo Modelo de Madurez COBIT 5
Toma precisamente el modelo de madurez definido por ISO en la norma ISO/IEC 15504 más conocida como SPICE (Software Process Improvement Capability Determination, (Determinación de la Capacidad de Mejora del Proceso de Software)
Modelo de capacidad de procesosModelo de capacidad de procesos
Estructura de los procesos:Estructura de los procesos:
Se dispone de un total de 36 procesos (34 en la versión 4.1).Se comprueba que muchos de los procesos ya están adoptados en la
organización: Gestión de proveedores. Gestión de cambios. Gestión de la configuración. Gestión de incidencias. Gestión de problemas. COBIT 5 propone tres procesos para la monitorización y evaluación.
Análisis:Análisis:
Principios de COBIT 5Principios de COBIT 5
Comparativo de versiones:Comparativo de versiones:
Característica Versión 4.1 Versión 5
Áreas de conocimiento Única Gobierno Corporativo de TI y Administración de TI Corporativa
Dominios 4(PO, AI, DS, ME) 5 (EDM, PO, BAI, DSS, MEI)
Procesos 34 36
Procesos por Dominio PO – 10 procesosAI – 7 procesosDS – 13 procesosME – 4 procesos
EDM – 5 procesosPO – 12 procesosBAI – 8 procesosDSS – 8 procesosMEI – 3 procesos
Nivel de Madurez 6, modelo propio 6, basado en ISO 15504, niveles de capacidad.
Historia:Historia:
La norma australiana AS8015 de 2005
Es un sistema que dirigía y controlaba el uso actual y futuro de las TIC Encargada de dirigir y evaluar los planes para que el uso de las TIC apoyen a la
organización y se monitoree su uso para lograr los planes establecidos La norma incluye la estrategia y las políticas para el uso de las TIC dentro de una
organización.
La norma ISO 38500 Fue publicada en junio del 2008 Es la primera de la línea ISO para el buen gobierno de las TI. Basada en la norma australiana AS8015 del 2005. Su objetivo es proporcionar un marco de principios para que la dirección de las
organizaciones los utilicen para evaluar, dirigir y monitorear el uso de las TI. Está alineada con los principios de gobierno corporativo recogidos en el "Informe
Cadbury" y con los "Principios de Gobierno Corporativo de la OCDE «.
ISO/IEC 38500:2008ISO/IEC 38500:2008
Aplicación
Esta norma es aplicable a todas las organizaciones, incluyendo públicos y privados empresas, entidades gubernamentales y organizaciones sin fines de lucro. La norma es aplicable a las organizaciones de todos los tamaños, desde la más pequeña hasta la más grande, independientemente de su grado de uso de las TI
ISO/IEC 38500:2008ISO/IEC 38500:2008Pr
opós
itos
Prop
ósito
sAsegurar que si la norma se sigue, las partes involucradas pueden confiar en el Gobierno Corporativo de TI.
Informar y orientar a los directivos que controlan el uso de las TI en la organización.
Proporcionar una base para la evaluación objetiva de la gestión de TI realizada por la alta dirección.
ISO/IEC 38500:2008ISO/IEC 38500:2008
Objetivos: • Generar confianza en los stakeholders
(empleados, clientes, proveedores, socios, accionistas, etc.) en el Gobierno Corporativo de TI de la Organización.
• Informar y guiar a la alta dirección en el gobierno TI en su organización.
• Proveer de bases para la evaluación objetiva del Gobierno Corporativo TI
Beneficios de la implantación del Beneficios de la implantación del estándar ISO/IEC 38500:2008estándar ISO/IEC 38500:2008• Adecuada aplicación y operación de activos de TI.• Asignación de responsabilidades.• Continuidad del negocio• Sostenibilidad.• Alineación de TI con los objetivos del negocio.• Asignación eficiente de recursos.• Innovación en los servicios, los mercados y las empresas.• Mejora de imagen y reputación en el mercado frente a los reguladores, y con los
stakeholders.• Optimización en los costes de una organización• Inversión efectiva en TI.• Cumplimiento legal.
La Norma se basa en que la alta dirección evalúe, dirija y siga el uso que se hace de las TI en sus organizaciones de manera que:
PRINCIPIOS DE LA NORMA PRINCIPIOS DE LA NORMA ISO/IEC 38500:2008ISO/IEC 38500:2008La Norma establece los principios para el buen gobierno corporativo de TIC:
PRINCIPIOS DE LA NORMA PRINCIPIOS DE LA NORMA ISO/IEC 38500:2008ISO/IEC 38500:2008
TAREAS: TAREAS:
Modelo de Gobierno ISO/IEC 38500:2008Modelo de Gobierno ISO/IEC 38500:2008
Orientaciones para el Gobierno Corporativo de TIOrientaciones para el Gobierno Corporativo de TI
Principio 1: Responsabilidad.
Evaluar
Dirigir Monitorear
Asignación con respecto a la organización actual y el futuro uso de TI.Asegurar efectivo, eficiente y aceptable uso y reparto de TI.Competencias de las personas que toman las decisiones respecto a TI.
Planes de acuerdo a las responsabilidades asignadas.Entrega de información a las personas de acuerdo a lo que requiere sus responsabilidades.
Mecanismos de Gobierno de TI sean apropiados.Las responsabilidades asignadas reconocidas y entendidas.El rendimiento de las responsabilidades en el gobierno de TI.
Orientaciones para el Gobierno Corporativo de TIOrientaciones para el Gobierno Corporativo de TI
Principio 2: EstrategiaDesarrollos en TI y procesos de negocio.Asegurarse de que los planes y las políticas están alineadas con los objetivos de la empresa.Asegurarse que el uso de las TI están sujetos a riesgos
Evaluar
Dirigir Monitorear
Dirigir la preparación de uso de planes y políticas.Animar a que hagan propuestas de uso de TI que permitan a la organización responder a nuevas oportunidades.
Controlar el nivel de aprobación de las propuestas de TI.Asegurar que los objetivos sean alcanzables con el presupuesto asignado.Controlar el uso de TI para asegurar que sean alcanzados los beneficios propuestos.
Orientaciones para el Gobierno Corporativo de TIOrientaciones para el Gobierno Corporativo de TI
Principio 3: AdquisiciónEvaluar opciones para compra de insumos TI.Realizar propuestas de aprobación, equilibrio de riesgos, y valor del dinero para las inversiones propuestas.
Evaluar
Dirigir Monitorear
Los activos de TI, sistemas e infraestructura, sean adquiridos de una manera adecuada.Dirigir que el abastecimiento de preparativos, incluyendo los internos y externos.
Controlar que las inversiones en TI aseguren que cumplan con las capacidades requeridas.Controlar que en la organización los proveedores mantengan una buena relación.
Orientaciones para el Gobierno Corporativo de TIOrientaciones para el Gobierno Corporativo de TI
Principio 4: DesempeñoLos medios para que TI soporte los procesos del negocio, los riesgos derivados de la protección de la información y las opciones para asegurar la eficiencia y la toma de decisiones oportunas acerca del uso de TI, como apoyo a los objetivos del negocio.
Evaluar
Dirigir Monitorear
Asegurándose que la asignación de los recursos de TI cumpla con las necesidades de la Organización.La responsabilidad asegurando que TI soporte el negocio, cuando sea requerido.
El grado como TI soporta el negocio.El grado de aplicación y seguimiento de las políticas, tales como: Exactitud de los datos y eficiencia del uso de TI.
Orientaciones para el Gobierno Corporativo de TIOrientaciones para el Gobierno Corporativo de TI
Principio 5: CumplimientoEvaluar opciones para compra de insumos TI.Realizar propuestas de aprobación, equilibrio de riesgos, y valor del dinero para las inversiones propuestas.
Evaluar
Dirigir Monitorear
Los activos de TI, sistemas e infraestructura, sean adquiridos de una manera adecuada.Dirigir que el abastecimiento de preparativos, incluyendo los internos y externos.
Controlar que las inversiones en TI aseguren que cumplan con las capacidades requeridas.Controlar que en la organización los proveedores mantengan una buena relación.
Orientaciones para el Gobierno Corporativo de TIOrientaciones para el Gobierno Corporativo de TI
Principio 6: Recursos HumanosLas actividades de TI que aseguren que el factor humano fue considerado e identificado apropiadamente.
Evaluar
Dirigir Monitorear
Las actividades de TI que sea consiente con el factor humano .Los riesgos, oportunidades, problemas y preocupaciones para que puedan ser identificados y reportados en cualquier momento.
Las actividades de TI que aseguren que el factor humano identificado sigue siendo pertinente y que se le presta la debida atención.Que las practicas de trabajo son consistentes con el uso apropiado de TI.
Modelo de Madurez ISO/IEC 38500:2008Modelo de Madurez ISO/IEC 38500:2008
El modelo de Madurez (MM) permite establecer la situación relativa del gobierno de las TI, decidir a donde debe ir de manera eficiente y medir su avance en relación con los objetivos de la Empresa.
La evaluación del Gobierno de TI permite obtener lo siguiente:
Modelo de Madurez ISO/IEC 38500:2008Modelo de Madurez ISO/IEC 38500:2008
NIVELES DEL MODELO DE NIVELES DEL MODELO DE MADUREZMADUREZ
NIVELES DEL MODELO DE NIVELES DEL MODELO DE MADUREZMADUREZ
La ISO 38500 mira hacia abajo desde la parte superior, al igual que el techo de una casa.
COBIT son las paredes y marcos de procesos ITIL y los Proyectos en ambientes controlados son la
base. Usando la analogía de la casa, si la junta intentó para
poner en práctica el techo, ISO 38500, sin la base o las paredes, se vendría abajo.
Además, sin el techo, las empresas estarían expuestos a los elementos.
ISO 38500 no es igual para todos. No reemplaza COBIT, ITIL, u otras normas o marcos, sino, más bien, que los complementa proporcionando un lado de la demanda-de-TI-uso foco.
Representación de Frameworks:Representación de Frameworks:
Análisis del Modelo de Madurez por Análisis del Modelo de Madurez por cada principio de ISO/IEC cada principio de ISO/IEC
38500:200838500:2008
Análisis del Modelo de Madurez:Análisis del Modelo de Madurez: Principio de Responsabilidad.Principio de Responsabilidad.
Evaluar
Análisis del Modelo de Madurez:Análisis del Modelo de Madurez:Principio de Responsabilidad.Principio de Responsabilidad.
Dirigir
Por ejemplo, las personas que desempeñan funciones en los comités de dirección o en la presentación de propuestas a los directores.
Análisis del Modelo de Madurez: Análisis del Modelo de Madurez: Principio de Responsabilidad.Principio de Responsabilidad.
Monitorizar o Controlar:
Análisis del Modelo de Madurez: Análisis del Modelo de Madurez: Principio de Estrategia.Principio de Estrategia.
Evaluar
Análisis del Modelo de Madurez: Análisis del Modelo de Madurez: Principio de Estrategia.Principio de Estrategia.
Dirigir
Análisis del Modelo de Madurez: Análisis del Modelo de Madurez: Principio de Estrategia.Principio de Estrategia.
Monitorizar o Controlar:
Análisis del Modelo de Madurez: Análisis del Modelo de Madurez: Principio de Adquisición.Principio de Adquisición.
Evaluar
Análisis del Modelo de Madurez: Análisis del Modelo de Madurez: Principio de Adquisición.Principio de Adquisición.
Dirigir:
Análisis del Modelo de Madurez: Análisis del Modelo de Madurez: Principio de Adquisición.Principio de Adquisición.
Monitorizar o Controlar:
Los directores deben supervisar las inversiones en TI para asegurarse de que proporcionan las capacidades requeridas.
Análisis del Modelo de Madurez: Análisis del Modelo de Madurez: Principio de Desempeño.Principio de Desempeño.
Evaluar:
Análisis del Modelo de Madurez: Análisis del Modelo de Madurez: Principio de Desempeño.Principio de Desempeño.
Dirigir:
Análisis del Modelo de Madurez: Análisis del Modelo de Madurez: Principio de Desempeño.Principio de Desempeño.
Monitorizar o Controlar:
Análisis del Modelo de Madurez: Análisis del Modelo de Madurez: Principio de Cumplimiento.Principio de Cumplimiento.
Evaluar:
Análisis del Modelo de Madurez: Análisis del Modelo de Madurez: Principio de Cumplimiento.Principio de Cumplimiento.
Dirigir:
Análisis del Modelo de Madurez: Análisis del Modelo de Madurez: Principio de Cumplimiento.Principio de Cumplimiento.
Monitorizar o Controlar:
Directores deben vigilar el cumplimiento de TI y la conformidad a través de apropiadas prácticas de auditoría y presentación de informes, lo que garantiza que los comentarios sean oportunos, completos y adecuados para la evaluación de la medida de la satisfacción de la empresa. Los directores deben supervisar las actividades de TI, incluida la eliminación de los activos y datos, a garantizar que, la gestión del conocimiento ambiental estratégica, y otras obligaciones pertinentes se cumplan.
Análisis del Modelo de Madurez: Análisis del Modelo de Madurez: Principio de Factor Humano.Principio de Factor Humano.
Evaluar:
Los directores deben evaluar las actividades de TI para asegurar que los comportamientos humanos son identificados y considerados apropiadamente.
Análisis del Modelo de Madurez: Análisis del Modelo de Madurez: Principio de Factor Humano.Principio de Factor Humano.
Dirigir :
Estos riesgos deben ser manejados en conformidad con las políticas y procedimientos publicados y escalarlos a la quienes toman las decisiones pertinentes.
Análisis del Modelo de Madurez: Análisis del Modelo de Madurez: Principio de Factor Humano.Principio de Factor Humano.
Monitorizar o Controlar: Los directores deben supervisar las prácticas de trabajo para
asegurarse de que sean compatibles con el uso adecuado de la información.
ISO/IEC 38500:2008 y COBITISO/IEC 38500:2008 y COBIT
ISO/IEC38500:2008 COBIT
No se posiciona como alternativa
Complemento
QUÉ se debe hacer CÓMO
Se c
entr
a en
Se focaliza
Relación de ISO/IEC 38500:2008 Relación de ISO/IEC 38500:2008 con COBIT 4.1con COBIT 4.1
ISO/IEC 38500:2008 COBIT 4.1
PRINCIPIO: RESPONSABILIDAD
PO4 Definir los procesos de TI, la organización y sus relaciones.
PO6 Comunicar la dirección y objetivos de la gerencia.
PO7 Administrar los recursos humanos de TI.
DS2 Administrar servicios de terceros.
ME1 Monitorear y evaluar el desempeño de TI.
ME4 Proveer Gobierno de TI.
Relación de ISO/IEC 38500:2008 Relación de ISO/IEC 38500:2008 con COBIT 4.1con COBIT 4.1
PRINCIPIO DE RESPONSABILIDAD:
ISO/IEC 38500:2008
COBIT 4.1• Proporciona matrices RACI de responsabilidades en los distintos procesos.
• Se requieren estructuras de organización de gobierno apropiadas.• Funciones y responsabilidades correctamente asignadas por la dirección.
PO4: Definir los procesos de TI, la organización y sus relaciones.
Enfocándose en: Establecer estructuras organizacionales de TI
transparentes, flexibles y responsables. Integración de roles y responsabilidades hacia los
procesos de negocio y de decisión.
Se logra con: La definición de un marco de trabajo de procesos de TI. El establecimiento de un cuerpo y una estructura organizacional
apropiada. La definición de roles y responsabilidades.
Se mide con:
El porcentaje de roles con descripciones de puestos y autoridad documentados.
PO6: Comunicar la dirección y objetivos de la gerencia.
Enfocándose en: Proporcionar políticas, procedimientos, directrices y otra
documentación aprobada, de forma precisa, entendible y que se encuentre dentro del marco de trabajo de control de TI a los interesados.
Se logra con: La definición de un marco de trabajo de control para TI. La elaboración e implementación de políticas para TI. El refuerzo de políticas de TI.
Se mide con:
Porcentaje de interesados que entienden el marco de trabajo de control de TI de la empresa. Porcentaje de interesados que no cumple las políticas.
PO7: Administrar los recursos humanos de TI.
Enfocándose en: Asignación de roles que correspondan a las habilidades. La creación de descripción de puestos. Aseguramiento de la conciencia de dependencia sobre los
individuos.
Se logra con: La revisión del desempeño del personal. La contratación y entrenamiento de personal de TI para apoyar los
planes tácticos de TI. La mitigación del riesgo sobre dependencia de recursos clave.
Se mide con:
El porcentaje de roles con descripciones de puestos y autoridad documentados.
DS2: Administrar servicios de terceros.
Enfocándose en: El establecimiento de relaciones y responsabilidades bilaterales con
proveedores calificados de servicios tercerizados y el monitoreo de la prestación de servicios.
Se logra con: La identificación y categorización de los servicios del proveedor. La identificación y mitigación de riesgos del proveedor El monitoreo y medición del desempeño del proveedor.
Se mide con: El número de quejas de usuarios debido a servicios contratados El porcentaje de los principales proveedores que cumplen los
requerimientos definidos y los niveles de servicio.
ME1: Monitorear y evaluar el desempeño de TI.
Enfocándose en: Monitorear y reportar las métricas del proceso e identificar e implementar acciones de
mejoramiento del desempeño.
Se logra con: La Cotejar y traducir los reportes de desempeño de proceso a reportes gerenciales. Comparar el desempeño contra las metas acordadas e iniciar las medidas correctivas necesarias.
Se mide con: Satisfacción de la gerencia y de la entidad de gobierno con los reportes
de desempeño. Porcentaje de procesos críticos monitoreados.
ME4: Proveer Gobierno de TI.
Enfocándose en: La elaboración de informes para el consejo directivo sobre la estrategia, el desempeño, los
riesgos de TI y responder los requerimientos de gobierno de acuerdo a las directrices del consejo directivo.
Se logra con:
El establecimiento de un marco de trabajo para el gobierno de TI, integrando al gobierno corporativo.
Se mide con: La frecuencia de informes del consejo directivo sobre Ti a los interesados
(incluyendo el nivel de madurez
Principio: Responsabilidad
PO4
PO7
Políticas y procedimientos de TI y RH, matriz de habilidades de TI, descripciones de puestos.
Marco de trabajo para el proceso de TI.
•Organización y relaciones de TI• Roles y
responsabilidades documentados
Marco de procesos, roles documentados y
responsabilidades de TI.
PO7
ME4
Todos
ME1
ME4
Planes de acciones
correctivas
Mejoras al marco de procesos
Reporte sobre el estatus del gobierno de TI
Roles y responsabilidades
PO6
•Marco de control empresarial para TI.• Políticas para TI
DS2
Relación de ISO/IEC 38500:2008 Relación de ISO/IEC 38500:2008 con COBIT 4.1con COBIT 4.1
ISO/IEC 38500:2008 COBIT 4.1
PRINCIPIO: ESTRATEGIA
PO1 Definir un plan estratégico de TI.
PO2 Definir la arquitectura de información.
PO3 Determinar la dirección tecnológica.
PO5 Administrar las inversiones en TI.
PO9 Evaluar y administrar riesgos de TI.
AI1 Identificar soluciones de automatización.
Relación de ISO/IEC 38500:2008 Relación de ISO/IEC 38500:2008 con COBIT 4.1con COBIT 4.1
PRINCIPIO DE ESTRATEGIA:
ISO/IEC 38500:2008
COBIT 4.1
• Se debe implementar una planificación estratégica de TI efectiva alineada con la estrategia de la organización de forma que aporte valor.
• El dominio Planificar y Organizar PO, se definen los procesos necesarios para una planificación efectiva por parte de la función TI.
Principio: Estrategia
PO5
PO5
PO9
PO2
Reporte de costo/beneficio • Plan de
sistemas de negocio optimizado.•Arquitectura de
informaciónEvaluación de riesgo
PO1
• Plan estratégico y táctico de TI
• Portafolio de proyectos de TI
PO3
PO9• Portafolio de
servicios de TI.
AI1
Plan estratégico de TI
Estudio de factibilidad de los requerimientos
de negocioInformación sobre
desempeño de
capacidad
PO3
Requerimientos de
infraestructura
• Estándares tecnológicos• Actualizaciones rutinarias
del “estado de la tecnología”
Relación de ISO/IEC 38500:2008 Relación de ISO/IEC 38500:2008 con COBIT 4.1con COBIT 4.1
ISO/IEC 38500:2008 COBIT 4.1
PRINCIPIO: ADQUISICIÓN
PO5 Administrar las inversiones en TI.
PO10 Administrar proyectos.
AI1 Identificar soluciones de automatización.
AI2 Adquirir y mantener software de aplicaciones.
AI3 Adquirir y mantener la infraestructura tecnológica .
AI5 Obtener recursos de TI.
AI7 Instalar y acreditar soluciones y cambios.
DS1 Definir y administrar niveles de servicio.
DS2 Administrar servicios de terceros.
Relación de ISO/IEC 38500:2008 Relación de ISO/IEC 38500:2008 con COBIT 4.1con COBIT 4.1
PRINCIPIO DE ADQUISICIÓN:
ISO/IEC 38500:2008
COBIT 4.1• El dominio Adquirir e Implementar AI proporciona una guía sobre cómo adquirir e implementar soluciones viables incluyendo la especificación de requisitos, implementación, pruebas, formación a usuarios, etc.
• En el dominio PO se contemplan procesos de planificación de inversiones así como planificación de programas y proyectos.
• Las inversiones deben realizarse después de un análisis adecuado.
Principio: Adquisición
PO10
PO5
PO7
Portafolio de proyectos de TI
actualizado
Revisión post implementación
AI7
• Directrices de administración del proyecto,• Planes detallados
del proyecto,
AI7
AI1
AI2
AI3
AI5
AI1
• Información sobre el desempeño y la capacidad.• Estudio de factibilidad de los
requerimientos del negocio.Estudio de factibilidad de los requerimientos del negocio.
DS1 * SLAs planeados inicialmente
* OLAs planeadas inicialmente
Sistema configurado para realizar prueba/ instalación
Decisiones de
adquisiciónAI5 AI2
Reporte de costo/beneficio
DS2
Catálogo de proveedores
Reporte de revisión de contrato
AI5
Adquisición de productos
• Requerimientos de administración en relación con terceros.
Portafolio actualizado de
servicios de TI
* SLAs: Acuerdos de nivel de servicios; OLAs: Acuerdos de nivel operacional
Relación de ISO/IEC 38500:2008 Relación de ISO/IEC 38500:2008 con COBIT 4.1con COBIT 4.1
ISO/IEC 38500:2008 COBIT 4.1
PRINCIPIO: DESEMPEÑO
PO2 Definir la arquitectura de información.
PO5 Administrar las inversiones en TI.
PO6 Comunicar la inversión.
PO8 Administrar calidad.
PO9 Evaluar y administrar riesgos de TI.
AI6 Administrar cambios
Relación de ISO/IEC 38500:2008 Relación de ISO/IEC 38500:2008 con COBIT 4.1con COBIT 4.1
ISO/IEC 38500:2008 COBIT 4.1
PRINCIPIO: DESEMPEÑO
DS2 Administrar servicios de terceros.
DS3 Administrar desempeño y capacidad.
DS4 Asegurar continuidad de servicio.
DS5 Garantizar la seguridad de sistemas.
DS6 Identificar y asignar costos.
DS8 Administrar servicios de apoyo e incidentes.
Relación de ISO/IEC 38500:2008 Relación de ISO/IEC 38500:2008 con COBIT 4.1con COBIT 4.1
DS9 Administrar la configuración.
DS10 Administrar problemas.
DS11 Administrar datos.
DS12 Administrar el ambiente físico.
DS13 Administrar operaciones.
ME4 Proveer Gobierno de TI
PRINCIPIO: DESEMPEÑO
COBIT 4.1ISO/IEC 38500:2008
Relación de ISO/IEC 38500:2008 Relación de ISO/IEC 38500:2008 con COBIT 4.1con COBIT 4.1
PRINCIPIO DE DESEMPEÑO:
ISO/IEC 38500:2008
COBIT 4.1
• La TI está dimensionada para dar soporte a la organización, proporciona los servicios de calidad adecuada para cumplir con las necesidades actuales y futuras.
• Los procesos PO1 (Definir un plan estratégico de TI y DS1 (Definir y gestionar los acuerdos de servicio) ofrecen orientaciones específicas para establecer metas concretas de desempeño.• El proceso COBIT ME1 (Monitorizar y evaluar el desempeño de TI) se focaliza en las responsabilidades de la dirección ejecutiva para esta actividad.• El proceso ME4 (Supervisar y evaluar el gobierno de TI) se orienta en la propia medición del desempeño del gobierno TI.
Principio: desempeño
PO2
DS3
Información de desempeño y
capacidad PO5
Plan de desempeño y capacidad
DS6
ME4
Resultados esperados de
las inversiones
Finanzas de TI DS4
DS5
DS12
DS11
Clasificación de datos
asignados
Diccionario de Datos
Arquitectura de
información
DS9
Criticidad de puntos de
contingencia de TI
PO9
DS8
DS11 DS13
Valoración del riesgo
Umbrales de incidente/ desastre
Plan de almacenamiento y respaldos de protección
Reporte de coste beneficio
DS2 DS4
Todas
PO6 DS5
Directrices de administración de
riesgos relativos a TIRiesgos de
proveedores
Resultado de prueba
de contingencia
Amenaza y vulnerabilidades de seguridad
• Evaluación de riesgos• Reporte de riesgos
• Marco de control empresarial para TI• Políticas de TI
AI6
Planes de acciones correctivas para riesgos
relacionados con TI
DS10
DS8Autorización de cambio
DS13
Instrucciones del operador para administración
de datos
PO9
DS12
Evaluación del riesgo
Principio: desempeño
DS8Solicitud de servicio/
de cambio
AI6
Cambios requeridosDS3
DS5
Cambios de seguridad requeridos
DS9
• Solicitudes de cambio• Registro de problemas
DS10
* RFC (dónde y cómo aplicar)
PO8Medidas para mejorar la
calidad
Métricas de calidad
Todas
Estándares de adquisición DS2
DS4Requerimiento de
servicio contra desastres
Definición de incidentes de
seguridad
DS9
Detalles de configuración /Activos de TI
DS13
Tiquetes de incidente
DS10
Problemas y errores conocidos y soluciones
alternas
Bitácora de errores
Reporte de incidentes
Principio: Cumplimiento
Planes de acciones
correctivas
PO4
ME1
Reporte de efectividad de los
controles de TI
ME2
ME3
Catálogo de requerimientos legales y regulatorios relacionados con los
servicios de TI.
Marco de procesos, roles documentados y
responsabilidad de TI Todos
Reporte de desempeño de
procesoReporte sobre el cumplimiento de las actividades de TI, respecto a requerimientos legales y regulatorios externos.
Principio: Factor Humano
PO4
PO7
Políticas y procedimientos de TI y RH, matriz de habilidades de TI, descripciones de puestos.
Marco de procesos, roles documentados y
responsabilidad de TI Todos
•Organización y relaciones de TI•Roles y responsabilidades
documentados
Todos Roles y
responsabilidades
DS7
•Aptitudes y habilidades de los usuarios , incluyendo el entrenamiento individual.•Requerimientos específicos de
entrenamiento.
•Requerimientos de transferencia de conocimiento para implementación.•Materiales de entrenamiento.
Actualización de documentos requeridos
AI4DS1
Relación de ISO/IEC 38500:2008 Relación de ISO/IEC 38500:2008 con COBIT 4.1con COBIT 4.1
ISO/IEC 38500:2008 COBIT 4.1
PRINCIPIO: CUMPLIMIENTO
PO4 Definir los procesos de TI, la organización y sus relaciones.
ME1 Monitorear y evaluar el desempeño de TI.
ME2 Monitorear y evaluar el control interno.
ME3 Garantizar el cumplimiento regulatorio.
Relación de ISO/IEC 38500:2008 Relación de ISO/IEC 38500:2008 con COBIT 4.1con COBIT 4.1
PRINCIPIO DE CUMPLIMIENTO:
ISO/IEC 38500:2008
COBIT 4.1
• Deben tener definidas sus propias políticas y procedimientos internos y apoyar su implantación y cumplimiento.
• El proceso ME2 (Monitorizar y evaluar controles TI) se encarga de monitorizar y evaluar la consecución de los controles internos establecidos.• En el proceso ME3 (Asegurar el cumplimiento de requisitos externos), se sientan las bases para el análisis y la supervisión de los requerimientos externos, incluyendo las normativas.
Relación de ISO/IEC 38500:2008 Relación de ISO/IEC 38500:2008 con COBIT 4.1con COBIT 4.1
ISO/IEC 38500:2008 COBIT 4.1
PRINCIPIO: FACTOR HUMANO
PO4 Definir los procesos de TI, la organización y sus relaciones.
PO7 Administrar los recursos humanos de TI.
AI4 Permitir la operación y uso.
DS1 Definir y administrar niveles de servicio.
DS7 Educar y capacitar usuarios.
Relación de ISO/IEC 38500:2008 Relación de ISO/IEC 38500:2008 con COBIT 4.1con COBIT 4.1
PRINCIPIO DE FACTOR HUMANO:
ISO/IEC 38500:2008
COBIT 4.1
• Indica que la alta dirección debe preocuparse del comportamiento de las personas que de una manera u otra se relacionan con las actividades TI. Esto debe ocurrir en dos sentidos: -Las personas deben comportarse de manera que afecten positivamente el desempeño de TI y - Debe garantizarse que las actividades de TI no afecten negativamente a las personas.
• El proceso PO4 (Definir la organización y relaciones TI) explica como la organización y sus procesos relacionados pueden satisfacer las necesidades del personal a todos los niveles. Así mismo, de manera explícita define el comportamiento esperado del personal en el desempeño de su trabajo.
Relación de ISO/IEC 38500:2008 Relación de ISO/IEC 38500:2008 con COBIT 4.1con COBIT 4.1
PRINCIPIO DE FACTOR HUMANO:
COBIT 4.1• Por medio del proceso PO6 (Comunicar la dirección objetivos de la gerencia) se asegura que los objetivos de la organización son comunicados claramente y que la cultura laboral favorece una actitud correcta del trabajador hacia el control de riesgo.
• PO7 (Gestión de los recursos humanos de TI) es el proceso específico de COBIT para alinear el comportamiento de las personas con las metas corporativas, la definición de responsabilidades y el mantenimiento del conocimiento.
• El foco del proceso DS7 (Educar y entrenar a los usuarios) es el de asegurar que los usuarios conocen lo necesario para garantizar un uso eficaz de los sistemas TI.
Relación de ISO/IEC 38500:2008 Relación de ISO/IEC 38500:2008 con COBIT 4.1con COBIT 4.1
EVALUAR:
Los siguientes recursos de COBIT apoyan en la consecución de la tarea Evaluar de ISO/IEC 38500:2008:
• Todo el modelo de COBIT se basa en el ciclo de Deming que incluye como acciones básicas la planificación inicial así como la comprobación posterior de que las acciones se han desarrollado de acuerdo a lo previsto.
Relación de ISO/IEC 38500:2008 Relación de ISO/IEC 38500:2008 con COBIT 4.1con COBIT 4.1
DIRIGIR:
No hay una correspondencia directa entre una parte concreta del modelo de COBIT y esta tarea definida en la norma ISO/IEC 38500. Sin embargo, todo el modelo de COBIT proporciona una base para evaluar la idoneidad de las prácticas de gestión y los controles de TI, permitiendo a la dirección la evaluación y comunicación de la capacidad de los procesos de TI.
Relación de ISO/IEC 38500:2008 Relación de ISO/IEC 38500:2008 con COBIT 4.1con COBIT 4.1
MONITORIZAR:
Todo el dominio ME cubre la medición del desempeño, la efectividad del control interno, conformidad con requisitos y la consecución de un eficaz gobierno corporaivo.
Relación de ISO/IEC 38500:2008 Relación de ISO/IEC 38500:2008 con COBIT 4.1con COBIT 4.1
Relación de ISO/IEC 38500:2008 Relación de ISO/IEC 38500:2008 con COBIT 4.1con COBIT 4.1
Relación de ISO/IEC 38500:2008 Relación de ISO/IEC 38500:2008 con COBIT 5con COBIT 5
Lo que sigue a continuación resume cómo COBIT 5 soporta la adopción de los principios y la aproximación a la implementación del estándar ISO/IEC 38500:2008
Relación de ISO/IEC 38500:2008 Relación de ISO/IEC 38500:2008 con COBIT 5con COBIT 5
PRINCIPIO 1—RESPONSABILIDADEl negocio (el cliente) y las TI (proveedor) deberían colaborar en un modelo cooperativo utilizando
canales eficaces de comunicación basados en relaciones positivas y de confianza y demostrando claridad con respecto a la responsabilidad de llevar a cabo las tareas y la verificación de las mismas.
Relación de ISO/IEC 38500:2008 Relación de ISO/IEC 38500:2008 con COBIT 5con COBIT 5
PRINCIPIO 2—ESTRATEGIALa planificación estratégica de la TI es una tarea compleja y crítica que requiere una estrecha
coordinación entre la unidad de negocio de la empresa y los planes estratégicos de las TI.
Relación de ISO/IEC 38500:2008 Relación de ISO/IEC 38500:2008 con COBIT 5con COBIT 5
PRINCIPIO 3 —ADQUISICIÓN:una elección inadecuada de la arquitectura tecnológica, fallos a la hora de mantener una
infraestructura técnica actual y apropiada o una ausencia de recursos humanos cualificados pueden dar como resultado un proyecto fracasado, una incapacidad para soportar las operaciones del negocio o una reducción en el valor del negocio.
• El dominio EDM de COBIT 5 nos proporciona orientaciones sobre cómo gobernar y gestionar las inversiones en negocio posibilitadas por las TI a través de su ciclo completo de vida (adquisición, implementación, operación y desmantelamiento). El proceso APO05 Gestión del portafolio contempla cómo aplicar de manera eficaz la gestión del programa y la cartera de tales inversiones para asegurarse de que se logran los beneficios y de que se optimizan los costes.
• El dominio APO de COBIT 5 provee orientaciones para la planificación de la adquisición, incluyendo planes de inversión, gestión del riesgo, planificación de programas y proyectos y planificación de la calidad.
• El dominio BAI de COBIT 5 nos da orientaciones sobre los procesos necesarios para adquirir e implementar soluciones TI, cubriendo la definición de requerimientos, identificando soluciones viables, preparando documentación y formando y habilitando a los usuarios y las operaciones para hacer funcionar los nuevos sistemas.
Relación de ISO/IEC 38500:2008 Relación de ISO/IEC 38500:2008 con COBIT 5con COBIT 5
PRINCIPIO 4 —RENDIMIENTO:La medición eficaz del desempeño depende de que se tengan en cuenta dos aspectos clave:
una definición clara de las metas de rendimiento y el establecimiento de métricas eficaces para supervisar el logro de las metas.
• COBIT 5 proporciona orientación a la Dirección en la tarea de establecer metas TI alineadas con las metas de negocio y describe cómo supervisar el desempeño de estos objetivos a través de metas y métricas. La capacidad de un proceso puede ser evaluada usando un modelo de evaluación de capacidades conforme a la ISO/IEC 15504.
• Dos procesos clave de COBIT 5 nos dan orientación específica:- APO02 Gestionar la estrategia se centra en el establecimiento de metas.- APO09 Gestionar los acuerdos de servicio se centra en la definición de servicios y de
metas de servicio apropiadas y las documenta en acuerdos de nivel de servicio (SLA).
• En el proceso MEA01 Supervisa, evaluar y valorar rendimiento y conformidad, COBIT 5 proporciona orientación acerca de las responsabilidades de la gestión ejecutiva para esta actividad.
Relación de ISO/IEC 38500:2008 Relación de ISO/IEC 38500:2008 con COBIT 5con COBIT 5
PRINCIPIO 5 —CONFORMIDAD:En el mercado global de hoy en día, apoyado por Internet y las tecnologías avanzadas, las
empresas necesitan cumplir con un número cada vez más grande de requisitos legales y regulatorios.
• El proceso APO02 Gestionar la estrategia de COBIT 5 se asegura de que hay un alineamiento entre los planes TI y los objetivos globales de negocio, incluyendo los requisitos de gobierno.
• El proceso MEA02 Supervisar, evaluar y valorar el sistema de control interno de COBIT 5 facilita a los directivos cómo valorar si los controles son adecuados para satisfacer los requisitos de conformidad.
• El proceso MEA03 Supervisar, evaluar y valorar la conformidad con los Requerimientos externos de COBIT 5 garantiza que se identifican los requisitos de conformidad externos, que los directivos marcan la dirección para la conformidad, y que se supervisa, evalúa y se hacen informes de la conformidad TI en sí misma como una parte de la conformidad global con los requisitos de la empresa.
Relación de ISO/IEC 38500:2008 Relación de ISO/IEC 38500:2008 con COBIT 5con COBIT 5
PRINCIPIO 6 — FACTOR HUMANO La implementación de cualquier cambio facilitado por las TI, incluyendo el gobierno de las TI en sí
mismo, normalmente requiere cambios significativos culturales y de comportamiento tanto dentro de las empresas como con los clientes y con los socios del negocio.
Implantación y Certificación Implantación y Certificación ISO/IEC 38500:2008ISO/IEC 38500:2008
DOCUMENTOS ASOCIADOSEn el precio total del coste del proyecto deben estar incluidos los gastos de
desplazamiento, alojamiento y manutención.
CASOS DE ÉXITOCASOS DE ÉXITO
Caso de Éxito Nº 01Caso de Éxito Nº 01
AUREN - Primera empresa a nivel mundial en obtener la Certificación de Buen Gobierno de TI (ISO 38500).
La ISO38500 es un marco de gestión y gobierno que hace de nexo entre el negocio y las TIC, y que tiene gran cantidad de normativa ISO asociada: Responsabilidad Social Corporativa (ISO26001), Sistema de Gestión de Seguridad de la Información (ISO27001), Ciclo de Vida de Desarrollo (ISO15504), Sistema de Gestión de la Calidad (ISO9001), etc.
La certificación acredita que la empresa AUREN cumple:• Personas.• Estrategias.• Responsabilidad.• Adquisición. • Rendimiento.• Cumplimiento Legal y normativo.Desde mayo del 2009 ha sido la primera empresa piloto en alinearse con la norma ISO 38500.
Caso de Éxito Nº 02Caso de Éxito Nº 02
Abast Systems S.A. ha llevado a cabo un seguimiento en el desarrollo de la norma desde los orígenes de la norma AS8015:2005 hasta la actual ISO/IEC 38500:2008. Disponemos de un equipo de consultores expertos en la norma y en la guía de implantación del marco de Gobierno, basado en COBIT 4.1, VAL IT 2.0 y RISK IT. Nuestra amplia experiencia en la implantación de estándares ISO asociados a los sistemas de información hace que Abast Systems S.A. esté posicionada como empresa de referencia en el sector.
La norma ISO/IEC 38500 se aplica al gobierno de los procesos de gestión de TI en todo tipo de organizaciones que utilicen las tecnologías de la información, facilitando unas bases para la evaluación objetiva del gobierno de TI. Además del cumplimiento con la legislación vigente, el gobierno de las TI permite:
Una apropiada implementación y operación de los recursos de TI.La clarificación de las responsabilidades y medición del logro de los objetivos de la organización.La continuidad y sostenibilidad del negocio.El alineamiento de las TI con las necesidades del negocio.La asignación eficiente de los recursos de TI.La innovación en servicios, mercados y negocios.Mejorar la relación con los stakeholders.Reducción de costes de TI.La materialización efectiva de los beneficios esperados de cada inversión en TI.
Abast Systems S.A. implemento la norma ISO/IEC 38500 para diversas instituciones como lo son:
CONCLUSIONESCONCLUSIONES
ISO 38500 es aplicable a entidades de todos los tamaños, incluidas las empresas públicas y privadas, organizaciones gubernamentales con o sin ánimo de lucro.
ISO 38500 no ha llegado para sustituir a otras normas y estándares basados en la buena gestión de los activos que soportan la información ya presentes en muchas empresas (ISO27001, COBIT , ITIL) puesto que, lo que pretende, es proporcionar un marco coherente para garantizar que la dirección está debidamente implicada en la gestión eficaz de las TI en cualquier ámbito y alcance.
La norma se aplica al gobierno de los procesos de gestión de las TI, en cualquier tipo de organizaciones que utilicen todas las tecnologías de la información, facilitando unas bases para la evaluación objetiva del gobierno de TI.
La importancia de un Sistema de Gobierno de ISO 38500 viene dado por las características propias del mundo actual, el gobierno de las TIC constituyen el componente esencial para el logro de la excelencia y competitividad requerida por la empresa moderna y esto es posible sólo mediante la profesionalidad de sus gobernantes, gestores y resto del personal.